
Spezialist für digitale Forensik
Grauschicht
Kevin Chandler ist Spezialist für digitale Forensik bei Grayshift und verfügt über mehr als 26 Jahre Erfahrung in der Strafverfolgung, insbesondere im Bereich der digitalen Forensik und der Analyse von Mobilfunkstandorten. Bevor er zu Grayshift kam, arbeitete Kevin für die britische Transportpolizei in verschiedenen polizeilichen Funktionen. Die letzten 16 Jahre war er als Kriminalbeamter tätig und spezialisierte sich auf Cyberkriminalität, Betrug und umfangreiche Ermittlungen.
Chandler bezeichnet sich selbst in diesem Interview als „sanftmütiger DFS-Typ“, aber nach der Handvoll Fälle, über die er hier reflektiert, können wir nicht umhin, uns zu fragen, ob hinter Kevin Chandler mehr steckt, als man auf den ersten Blick sieht. Lesen Sie weiter, um zu erfahren, wie Chandler GrayKey in seinem früheren Leben als Detektiv eingesetzt hat, um schwierige Fälle zu lösen, bei denen es um das Abschöpfen von Geldautomaten und bewaffnete Raubüberfälle ging.
Es ist offensichtlich, dass du ein #nerdcop bist. Was ist Ihre Lieblingstechnologie, die Sie jeden Tag gerne benutzen?
Es muss mein Smartphone sein, denn wie die meisten Menschen bin ich ohne mein Telefon verloren. Es ist bequem, alles unterwegs oder an verschiedenen Orten zu erledigen. Es geht nicht nur um Anrufe und SMS. Ich kann arbeiten, Netflix im Fernsehen schauen, meine Rechnungen bezahlen, alles, was ich tun will, kann ich auf meinem Handy tun.
Mit welchen Arten von Fällen hatten Sie in Ihrer Zeit als Ermittler für digitale Forensik zu tun?
Ich war nie als Prüfer im Labor für digitale Forensik eingesetzt, und mein Hintergrund ist der eines Kriminalbeamten an vorderster Front. Ich habe in der digitalen Welt angefangen und mich mit Bankkartenbetrug und der Verwendung kompromittierter Daten zum Klonen von Bankkarten beschäftigt. Aufgrund der Komplexität dieser Ermittlungen wurden zwei von uns ausgewählt, um eine Ausbildung in Computerforensik zu absolvieren. Wie alle guten Ermittlungsteams waren wir in der Lage, uns anzupassen, wenn sich die Art der Straftat änderte oder weiterentwickelte, und wir erweiterten unsere Tätigkeit auf den Umgang mit Geldautomaten-Skimming-Geräten, bei denen der PIN-Code von einem abgespeckten Mobiltelefon erfasst wurde. über das Tastenfeld des Geldautomaten. Dies war mein Weg in die mobile Forensik.
Unser Büro befand sich im ersten Stock über dem Gewahrsamsraum, und wir waren dafür bekannt, dass wir den Beamten, die schlechte Schauspieler in Gewahrsam hatten, Downloads von Mobiltelefonen anboten. Das waren Taschendiebe oder Drogenhändler, aber irgendwo muss man sein Handwerk ja lernen. Aufgrund unseres Erfolgs begann ich, bei anderen Ermittlungen zu assistieren, und das Referat bot Beratung und digitale forensische Unterstützung bei allen Arten von Ermittlungen an, einschließlich komplexer Betrugsfälle und der Bereitstellung digitaler Beweise für ein Diebstahl von Mobiltelefonen im Wert von mehreren Millionen Pfund.
Im Vereinigten Königreich würde man diese Funktion heute als Ermittler für digitale Medien bezeichnen. Das Team erbrachte bei verschiedenen Untersuchungen einen Mehrwert, indem es die digitalen Möglichkeiten prüfte. Daraufhin versetzte uns die Leitung in die Einheit für Schwerverbrechen unserer Zentrale, wo sie uns bei Morden, Raubüberfällen, Sexualdelikten und schweren Straftaten unterstützte. Ich habe immer geglaubt, dass kein Job zu klein ist und jeder Tag ein Schultag ist, also habe ich mich auch mit allem beschäftigt, was ein digitales Element hat, um meine Fähigkeiten auf dem neuesten Stand zu halten.
Gibt es ein Beispiel für einen Fall, den Sie mit GrayKey untersucht haben? Können Sie uns sagen, wie GrayKey hätte helfen können?
Ich habe bei einem Raubüberfall mitgearbeitet, der besonders hervorsticht. Ein Team hatte es auf schutzbedürftige Personen an Geldautomaten abgesehen, ihre Bankkarten gestohlen und ihnen die PINs entlockt. Es wurde eine Untersuchung eingeleitet, die zahlreiche Straftaten in ganz London miteinander in Verbindung brachte, aber der ermittelnde Beamte hatte Schwierigkeiten, den Hauptverdächtigen mit den Verbrechen in Verbindung zu bringen.
Der Beamte hatte das Telefon des Verdächtigen beschlagnahmt, das mit einer PIN gesperrt war. Da das Gerät gesperrt war, legten sie das Telefon auf den GrayKey und knackten den Passcode in nur wenigen Sekunden. Der Ermittler konnte keine Beweise finden, die den Verdächtigen mit den Straftaten in Verbindung bringen. Da ich mit dem GrayKey eine vollständige Dateisystemextraktion durchführen konnte, war ich in der Lage, tiefer in das Telefon einzudringen und Standortdaten vom Telefon zu erhalten, die den Verdächtigen in der Nähe vieler der Straftaten, am Datum und um die Uhrzeit der Straftaten platzierten.
Was ist eine Sache, von der Sie sich wünschen, dass die Leute sie verstehen?
Dass es nicht nur darum geht, ein paar Knöpfe zu drücken. Die Tools sind hervorragend, aber man muss wissen, wie man die Daten oder die Ergebnisse, die die Tools geliefert haben, interpretieren kann. Es ist wichtig, auf dem Laufenden zu bleiben.
Was war das schwierigste Verbrechen, das Sie mit GrayKey gelöst haben?
Ich wurde gebeten, bei einem bewaffneten Raubüberfall auf einen Geldtransporter zu helfen, bei dem die Wachleute überfallen wurden. Den Ermittlern wurde ein möglicher Verdächtiger genannt, der jedoch zum Tatzeitpunkt ein Alibi hatte. Die Beamten hatten sein Mobiltelefon beschlagnahmt, das mit einer PIN gesperrt war. Der Passcode des Telefons wurde mit GrayKey geortet, aber aufgrund von Personalmangel wurde nur eine logische Extraktion vorgenommen. Diese logische Extraktion hat den Verdächtigen weder belastet noch entlastet. Ich half bei der Analyse von Mobilfunkstandorten und konnte nachweisen, dass sich der Verdächtige zum Zeitpunkt des Raubüberfalls am Tatort befunden haben könnte, aber auch, dass er sich an dem Ort befunden haben könnte, an dem das Fluchtauto gestohlen wurde.
Nachdem ich die Extraktion des Telefons überprüft und festgestellt hatte, dass es sich nur um eine logische Extraktion handelte, führte ich eine Dateisystemextraktion mit GrayKey durch. Diese Extraktion lieferte zusätzliche Daten, . Wir konnten sehen, dass der Verdächtige den Fluchtwagen, der im Internet zum Verkauf stand, recherchiert hatte. Kurz nach der Tat hatte er auch den Tatort studiert, und einige Zeit lang recherchierte er in den lokalen Nachrichtenmedien, um sich über die Berichte über den Raubüberfall zu informieren.
Obwohl die Standortdaten des Telefons den Verdächtigen nicht direkt am Tatort lokalisierten, befand er sich in der Nähe des Tatorts, aber nicht in der Nähe seines Alibi-Standorts. Der Verdächtige bekannte sich sowohl des Autodiebstahls als auch des Raubes für schuldig.
Mit welchen Herausforderungen waren Sie als Prüfer für mobile Forensik regelmäßig konfrontiert?
Die Ermittler wussten nicht, was sie von dem von ihnen eingereichten Gerät wollten. Im Allgemeinen kann jetzt jede Untersuchung mit einem Mobiltelefon verbunden sein. Dennoch müssen die Ermittlungsbeamten herausfinden, was sie von dem Telefon wollen oder was sie mit der Analyse erreichen wollen. Auf dem Einreichungsformular steht in der Regel nur etwas wie „alles“ – wir wissen, dass das Tausende von Seiten an Daten sind. Vieles davon wird für die Ermittlungen nicht relevant sein, und es besteht die Gefahr, dass Beweise übersehen werden, weil es zu viel zu durchsuchen gibt.
Zeit: Es muss immer mehr Zeit zur Verfügung stehen.
Welchen Rat würden Sie neuen Spezialisten für digitale Forensik geben, damit sie ähnliche Herausforderungen meistern können?
Verlassen Sie sich nicht nur auf das Antragsformular, sondern setzen Sie sich mit dem Prüfer zusammen und besprechen Sie Ermittler, was er erreichen möchte oder welche Schwächen er in seinen Ermittlungen hat und entwickeln Sie gemeinsam mit ihm eine digitale Arbeitsstrategie.
Was wissen Sie heute, was Sie gerne gewusst hätten, als Sie angefangen haben?
Ich werde auf Sie zurückkommen müssen.
Was ist ein Geheimnis über einen deiner Teamkollegen, das die meisten Leute nicht kennen, aber kennen sollten?
Im DFS-Team gibt es keine Geheimnisse, so sagt man mir zumindest.
Welche Superkraft bringen Sie bei Grayshift ein?
Ich habe keine Superkräfte; ich bin nur ein sanftmütiger DFS-Typ. Ich bin ein guter Zuhörer und hinterfrage gerne Dinge. Ich möchte Probleme lösen und bin bereit, neue Herausforderungen anzunehmen und neue Dinge zu lernen.
Wenn Sie sich aufgrund von Chandlers Antwort auf Frage 10 (und dem Rest des Interviews) fragen, ob er tatsächlich Superman ist, lautet die Antwort: Ja. Aber er wird es nie zugeben. Als Mitglied des Grayshift DFS-Teams verbringt Chandler einen Großteil seiner Zeit damit, Präsentationen zu halten, sich mit Strafverfolgungsbeamten zu treffen und Fragen zu beantworten. Er nennt London sein Zuhause, legt aber im Laufe des Jahres viele Kilometer zurück. Wenn Sie eine Frage an Chandler haben oder wissen möchten, ob er bei einer Veranstaltung in Ihrer Nähe einen Vortrag hält, können Sie sich gerne an ihn wenden unter: kchandler@grayshift.com.
Weitere Ressourcen, die Sie interessieren könnten:
- 10 Gründe, warum Sie GrayKey brauchen
- Mobile Forensik DIY-Laboranleitung
- Wie man digitale Beweise aufbewahrt: 7 Expertentipps
© 2023. Grayshift, LLC. Alle Rechte vorbehalten. Proprietär und vertraulich.